Wie sah es eigentlich aus Kundensicht aus, als die Apotheken beim Start der digitalen Impfzertifikate ihr Glück versuchten? Der IT-Journalist Gerald Himmelein, der unter anderem für Heise und das Computermagazin c’t schreibt, hat am Donnerstag von seinen Erfahrungen berichtet. Er sei gleich zu Beginn in eine Apotheke gegangen, um sich sein Impfzertifikat abzuholen. „Die Apotheke war völlig überfordert. Der Server lief nicht rund, das Portal hängte sich ständig auf und die Mitarbeiter hatten nur eine ungenügende Einweisung erhalten, wie das zu bedienen ist“, erzählte er am Donnerstag in einem Gespräch mit seinen Kollegen Martin Holland und Jürgen Kuri. „Ich dachte mir dann, das lief jetzt aber nicht so rund.“

Seitdem habe er das Thema verfolgt – insbesondere, nachdem die beiden Sicherheitsforscher Dr. André Zilch und Martin Tschirsich die eklatanten Sicherheitslücken des DAV-Portals aufgedeckt hatten. Kritik übt er vor allem am Umgang mit der Krise. „Als ich das mit den professionellen Fälschungen gelesen habe, dachte ich mir schon, da wird was nicht ganz stimmen“, so Himmelein. Die Reaktion des DAV gegenüber den beiden IT-Experten sei dabei wenig angemessen gewesen: Statt sich – wie Zilch und Tschirsich es in solchen Fällen nach eigenen Angaben gewöhnt sind – zusammenzusetzen, die Probleme zu besprechen und gemeinsam nach Lösungen zu suchen, griff der DAV der geplanten Veröffentlichung des Handelsblatts mit einer eigenen Mitteilung vor, in der er von besagten „professionellen Fälschungen“ sprach – und schaltete das Portal kurzerhand komplett ab, ohne die Apotheken darüber zu informieren. „Der Apothekerverband hat sich sehr unsportlich verhalten“, so Himmelein.

Auch von „professionellen Fälschungen“ könne wahrlich keine Rede sein, vielmehr sei es erschreckend einfach gewesen, den DAV zu überlisten. „Das hätte ein Siebtklässler machen können.“ Genau wie Tschirsich und Zilch gehen sie davon aus, dass der Not-Stop und Neustart des Portals die eigentlichen Sicherheitsprobleme nicht löse.

Dass die „Überreaktion des DAV sehr radikal war“, stehe außer Frage. „Mit einer 2-Faktor-Authentifizeriung hätte sichergestellt werden können, da wäre das neue Portal und die neue Software gar nicht nötig gewesen.“ Allerdings seien die Sicherheitsprobleme zum einen weniger in Programmierungsfragen begründet als in der fehlenden Prüfung der Anträge, zum anderen in der Schwierigkeit, Zertifikate zurückzuverfolgen und einzeln zu sperren. „Es wäre möglich, die Zertifikate nachträglich zu blacklisten, aber das wäre ziemlich kompliziert“, erklärt er.

Auch wenn es nicht hätte sein müssen: Die Migration in die Telematikinfrastruktur habe die Sicherheit des Portals tatsächlich erhöht. Es stelle sich jedoch die Frage, warum der DAV nicht gleich auf eine TI-Lösung gesetzt habe. „Vermutlich, weil sie befürchtet haben, dass es mit der TI zu kompliziert ist und genau das geschieht, was gerade wirklich passiert, nämlich dass es ruckelt und nicht richtig funktioniert“, sagt Kuri. Ein Grund dafür sei auch, „dass die TI aus Datenschutz- und Sicherheitsgründen so kompliziert geworden ist, dass selbst die Softwarehäuser kaum noch durchblicken.“ Dass auch jetzt noch Lücken bestehen, demonstrierte Himmelein live: Es gebe Testserver, mit denen man ohne Authentifizierung Zertifikate erstellen kann. Die sind dann zwar nicht gültig, werden aber von der Corona-Warn-App (CWA) dennoch als gültig angezeigt. „Es gibt in der CWA seit letzter Woche eine Funktion, um die Gültigkeit von Zertifikaten zu überprüfen. Die meint damit aber etwas anderes als wir“, erklärt Himmelein – nämlich, ob die Zertifikate den Vorgaben anderer EU-Länder genügen oder nicht.

Vor der Kamera erstellte er ein Zertifikat auf den Namen Donald Trump und übertrug es in die CWA, die es anzeigte. In der CovPass- und CovCheck-App wird angezeigt, dass die Signatur nicht gültig ist. Wer jedoch im Alltag – in der Gastronomie oder bei Kulturveranstaltungen – lediglich kurz den QR-Code einer Person vorzeigen muss, würde damit durchaus hineinkommen. Diese Funktionsweise der CWA sei zwar „nicht komplett falsch, aber irreführend und nicht ausreichend“, so Holland. Etwas versteckt erkläre auch die CWA, dass es sich bei dem Zitat nicht um ein tatsächlich gültiges handelt. Ob das gegen Missbrauch schütze, sei aber fragwürdig. „Die CoronaWarnApp ist für eine bessere Welt programmiert worden“, sagt Himmelein. Immerhin an einem Punkt hatten die drei nichts auszusetzen: Der Datenschutz sei vorbildlich. Alle Daten würden nur lokal auf den Smartphones gespeichert, eine irgendwie gelagerte Erfassung des Impfstatus sei nirgendwo zu erkennen, erklärt Himmelein: „Der gläserne Bürger entsteht dadurch nicht.“